年金個人情報に関する情報セキュリティ対策の実施状況

年金個人情報に関する情報セキュリティ対策の実施状況及び
年金個人情報の流出が日本年金機構の業務に及ぼした影響等
についての報告書(要旨)
平 成 2 8 年 1 2 月
会
計
検
査
院
1 検査の背景
(1) 日本年金機構における個人情報、情報システム及び情報セキュリティ対策の概要
厚生労働省及び日本年金機構(以下「機構」という。)は、厚生年金保険等の被保
険者等の基礎年金番号、氏名、保険料の納付状況等の個人情報(以下「年金個人情報」
という。)について、社会保険オンラインシステム、機構LANシステム等で構成さ
れている年金情報システムにより管理することとしている。
そして、厚生労働省及び機構は、年金個人情報がプライバシー性の非常に高い情報
であることなどから、年金個人情報等に関する情報セキュリティを確保するための対
策等に関する規程である情報セキュリティポリシー(以下、それぞれ「厚労省ポリシ
ー」及び「機構ポリシー」という。)を定めている。
また、機構は、インターネットに接続されている機構LANシステム上の共有フォ
ルダに年金個人情報を保存することは、原則として禁止しているが、所要のアクセス
制限やパスワードの設定を行うことを前提に、これを例外的に認めている。
(2) 年金個人情報の流出とその検証の概要
機構は、27年5月、外部から標的型攻撃を受けて、その結果、機構LANシステム
上の共有フォルダに保存されていた約125万件の基礎年金番号、氏名等の年金個人情
報がインターネットを通じて不正に外部に流出したとしている(以下、この標的型攻
撃による年金個人情報の流出を「流出事案」という。)。
流出事案の事実関係等が取りまとめられた検証報告書等によれば、流出事案を発生
させた直接的な要因は、機構において、標的型攻撃を受けた場合における対応につい
ては、LANケーブルの抜線以外に具体的な定めがなく、不正なプログラムの感染の
有無等の事態の確認が遅れ、有効な対策が講じられなかったことであるとされている。
(3) 流出事案の再発防止に向けた取組の概要
厚生労働省は、流出事案の再発を防止するために、「情報セキュリティ強化等に向
けた組織・業務改革」を27年9月18日に公表している。
一方、機構は、日本年金機構法(平成19年法律第109号)第49条第1項の規定に基づ
く厚生労働大臣の業務改善命令を受けて、業務改善計画を策定して27年12月9日に厚
生労働大臣に提出しており、再発防止に向けて機構が既に執った対策及び今後実施す
る取組を明らかにするなどしている。
- 1 -
(4) 流出事案が機構の業務に及ぼした影響の概要
機構は、年金個人情報が流出した者(以下「年金個人情報流出者」という。)に対
して、年金個人情報の流出に対するおわびを記した文書(以下「おわび文書」という。)、
基礎年金番号の変更を通知する文書(以下「基礎年金番号変更通知」という。)等の
送付を行っている。そして、これらの対応に必要な経費としては約10億円が見込まれ
るとしている。
また、機構は、流出事案発生以前には、国民年金保険料の未納者に対して納付督励
業務を行っており、納付督励業務には、機構が自ら実施する業務(以下「機構納付督
励業務」という。)と、機構から委託を受けた民間事業者が実施する業務(以下「市
場化納付督励業務」という。)とがある。
しかし、流出事案の発生を踏まえ、機構は、27年6月に通知を発し、一定期間、納
付督励業務の一部を行わないこととしていた。
(5) 検査の着眼点
会計検査院は、合規性、経済性、効率性、有効性等の観点から、流出事案の発生前
において、機構における年金個人情報に関する情報セキュリティ対策は適切に行われ
ていたか、厚生労働省及び機構におけるその実効性を確保するための監査等は適切に
行われていたか、また、流出事案の発生後において、機構の年金個人情報に関する情
報セキュリティ対策及び流出事案への対応業務は適切に行われているか、流出事案の
発生は機構の業務にどのような影響を及ぼしているか、その後の厚生労働省及び機構
における再発防止に向けた取組の進捗状況はどのようになっているかなどに着眼して
検査した。
2 検査の状況
(1) 流出事案の発生前における年金個人情報に関する情報セキュリティ対策等の実施状
況及び流出事案発生後における年金個人情報の保存等の状況
ア
流出事案の発生前における機構ポリシーの改正の状況についてみたところ、厚労
省ポリシーの改正から一定の期間、統合ネットワーク内でセキュリティ水準の異な
る期間が生ずるなどしてしまうのに、機構において厚労省ポリシーの改正後速やか
に機構ポリシーの改正を行っておらず、また厚生労働省及び機構において、機構ポ
リシーの改正に向けた連携等が十分であったとは認め難い状況となっていた。
- 2 -
イ
流出事案の発生前における厚生労働省の機構に対する監査及び機構の内部監査の
実施状況についてみたところ、機構ではインシデント対処手順書を策定していない
などしていたのに、いずれの監査においても、情報セキュリティに関する体制整備
が十分でないことについて指摘したことはない状況となっていた。
また、監査部は、所要のアクセス制限等の設定が行われないまま年金個人情報が
共有フォルダに保存されていることを把握し、機構の担当部署に対して改善要請を
発していたが、この改善要請は内部監査の結果ではないなどとして機構の理事長に
対して報告しておらず、また、実際の改善状況等に対する監査等を実施していなか
った。そして、機構において、監査部の改善要請への対応は徹底されていなかった
と認められた。
ウ
流出事案の発生前における厚生労働省の機構に対する情報セキュリティに関する
指導等の状況についてみたところ、同省年金局では、機構に対して、所要の注意喚
起等を十分に行っていなかった。
エ
流出事案発生後の機構における年金個人情報の保存状況等についてみたところ、
専用PCのハードディスクに年金個人情報が保存されていることが確認された。
そこで、会計検査院は、機構に対して、専用PCのハードディスクに保存されて
いる年金個人情報の有無等について報告を求めた。これに対して、機構は、機構本
部及び全国の年金事務所等の専用PCのハードディスクに保存されていた年金個人
情報については、28年8月から同年9月までの間に、専用フォルダに移し替えるなど
した上で全て削除したと会計検査院に報告した。
その後、28年10月及び同年11月の会計実地検査において、上記のとおり、機構は、
年金個人情報については専用フォルダに移し替えるなどした上で全て削除したとし
ていたのに、専用PCのハードディスクに年金個人情報等が保存されていることが
確認された。
(2) 流出事案の対応に要する経費の支出、対応業務等の状況
ア
機構の流出事案の発生に対応するための経費として見込んだ額約10億円の支出額
は、27年度決算額で10億8379万余円となっており、これらの経費は、年金個人情報
流出者に対する問合せ対応等に要する経費に限定されていた。上記のほかに、共有
フォルダに保存されている電子ファイル内に年金個人情報が存在しているかどうか
を調査するための経費等が見受けられた。また、厚生労働省でも、流出事案が発生
- 3 -
したことにより支出されたと考えられる経費があり、これらの経費を合算すると計
9418万余円(厚生労働省分4687万余円、機構分4730万余円)となる。
・・
また、機構が流出事案の発生に対応する経費に充てるためにねん出したとしてい
る財源の中には、27年度には支出されないものの、28年度以降において支出する必
要があるものが含まれていると認められた。
イ
おわび文書又は基礎年金番号変更通知等が返送された年金受給者計6,988人に対
する年金支給の状況についてみたところ、年金受給者の所在が確認できないのに、
機構は、これらの者の生存等の事実について更に確認しないまま年金支給を継続し
ていた。機構においては、年金受給者の所在が確認できないという情報を有効に活
用し、その生存等の事実を確認することなどについて検討する必要があったと認め
られる。
(3) 流出事案の発生により中止した業務の影響等
ア
機構は、流出事案の発生に対応するため、機構納付督励業務の一部を27年6月か
ら約5か月の間行っていなかった。
そこで、上記約5か月の間に督促状等を送付しなかったことにより消滅時効期間
が経過した国民年金保険料の債権額等について会計検査院において試算すると、8,
159か月分、1億2115万余円となり、このうち、仮に流出事案の影響なく督促状を送
付できていれば、消滅時効が中断され、消滅時効期間の経過前に納付されたと考え
られる国民年金保険料の債権額等について試算すると3,769か月分、5659万余円と
なる。
また、約5か月の間に特別催告状の送付をしなかったことを踏まえ、当初の行動
計画等のとおりに特別催告状を送付した場合に収納が見込まれる国民年金保険料の
額等について試算すると、計759,967か月分、計118億4788万余円となる。
イ
機構は、27年6月に電話による問合せに対する対応以外の市場化納付督励業務を
行わないよう民間事業者に対して求めていて(以下、市場化納付督励業務を行わな
いこととされた期間を「業務委託中止期間」という。)、業務委託中止期間はその
後約5か月に及んでいる。そこで、委託費の支払についてみたところ、機構は、業
務委託中止期間を含む27年5月から28年4月までの1年間に係る委託費として計66億2
112万余円を12等分して毎月支払っていた。なお、機構は、民間事業者が業務委託
中止期間中に業務を実施しなかったことによる27年度の実績の減少も踏まえて精算
- 4 -
を行うなどとして、28年10月に、民間事業者6社のうち5社に対して、27年度分の支
払済みの委託費計2億3122万余円の返還を求めている。
(4) 再発防止の取組の進捗状況
27年9月に「情報セキュリティ強化等に向けた組織・業務改革」が公表されてから2
8年9月までの間における厚生労働省の再発防止の取組の進捗状況についてみたとこ
ろ、統合ネットワーク等において高度な標的型攻撃に対応するためのシステム改修等
を行うなどしていた。
また、27年12月に業務改善計画が提出されてから28年9月までの間における機構の
再発防止の取組の進捗状況についてみたところ、年金個人情報の管理・運用を行う領
域をインターネットから完全に分離した年金情報システムの構築に向けた取組を進め
るなどしていた。
3 所見
流出事案の発生は、年金個人情報の管理に対する国民の信頼を大きく損ねたところで
あり、また、機構の業務に多方面で多大な影響を及ぼしている。そして、流出事案の発
生を踏まえ、厚生労働省及び機構は、前記のとおり、再発防止のための各種の取組を行
っている。
ついては、厚生労働省及び機構において、会計検査院の検査により明らかとなった状
況等を踏まえ、次のような点に留意して、年金個人情報の管理に関する一層の体制の整
備を図るなどの必要があると認められる。
ア
機構において、厚労省ポリシーが改正された場合には、その改正内容に準拠して機
構ポリシーを速やかに改正するなどするとともに、厚生労働省と機構との適切な連携
等を図るなどして、年金個人情報に関する情報セキュリティ対策を適切に行うこと
イ
厚生労働省及び機構において、年金個人情報に関する情報セキュリティ監査を含め、
同省の機構に対する監査及び機構の内部監査を一層実効性のあるものとすること
ウ
機構において、年金支給を適切に行うために、おわび文書等が返送されていて年金
受給者の所在が確認できないという情報を有効に活用し、その生存等の事実を確認す
ることなどについて検討すること
エ
機構において、機構が策定した業務改善計画に記載されている再発防止の取組を一
層着実に実施すること
- 5 -
厚生労働省及び機構は、年金に関する業務の実施に当たり、今後とも膨大な年金個人
情報を長期にわたり保有し、取り扱うことが見込まれる。会計検査院は、これらを踏ま
えて、機構において情報セキュリティ対策が適切に実施されているか、同省及び機構に
おいて実効性のある監査等が行われているか、また、流出事案の影響等を踏まえた適切
な対応が行われているか、さらに、機構の再発防止の取組が着実に行われているかなど
について、引き続き検査していくこととする。
- 6 -